DatenschutzWoche vom 22. 05. 2023

Neuer Rekord für ein DSGVO-Bußgeld: Meta soll 1,2 Milliarden Euro zahlen

Wegen Datenschutzverstößen bei Facebook hat die irische Datenschutzaufsichtsbehörde gegen den Konzern Meta ein Bußgeld in Höhe von 1,2 Milliarden Euro verhängt. Es handelt sich um das bisher höchste Bußgeld, das nach der DSGVO ausgesprochen wurde. Vorausgegangen war ein Streitbeilegungsbeschluss des EDPB vom 13. April 2023.

Dem mehr als 200 Seiten langen Bußgeldbescheid zufolge soll Meta seit dem 16. Juli 2020 unzulässigerweise personenbezogene Daten in die USA übermittelt haben. Weder die aktualisierten Standardvertragsklauseln der EU-Kommission noch die von Meta getroffenen zusätzlichen Maßnahmen gewährleisten demnach ein ausreichendes Datenschutzniveau.

Außerdem verpflichtet der Bescheid Meta, die Datenverarbeitung bei Facebook innerhalb von sechs Monaten an die Vorgaben der DSGVO zu Drittlandsübermittlungen anzupassen.

Meta hat bereits angekündigt, Rechtsmittel gegen die Entscheidung einzulegen; ein jahrelanger Rechtsstreit dürfte folgen. Dass Facebook in der EU unterdessen eingestellt werden muss, ist jedoch nicht zu erwarten.

Prüfbericht aus Niedersachsen gibt Einblick in die Datenschutzpraxis an Schulen

Die niedersächsische Landesdatenschutzbeauftragte hat im vergangenen Jahr 50 Schulen und Berufsschulen auf die Einhaltung datenschutzrechtlicher Vorgaben überprüft. Nach dem nun veröffentlichten Bericht werden viele grundlegende Anforderungen, wie etwa die Bestellung von Datenschutzbeauftragten, das Führen von Verarbeitungsverzeichnissen, das Vorhalten von Konzepten für den Umgang mit Datenpannen oder für die fristgerechte Löschung von Daten, zufriedenstellend umgesetzt.

Kritisch betrachtet die Behörde die Nutzung von digitaler Lernsoftware im Unterrichtsalltag. Ein Großteil der von den Schulen benannten Produkte ist der zuständigen Datenschutzaufsichtsbehörde unbekannt. Grundsätzliche Bedenken gibt es bei Anbietern mit Sitz in den USA sowie bei Angeboten, die digitale Diagnosetools beinhalten.

In 15 der befragten Schulen wird Microsoft 365 eingesetzt, obwohl dies nach Auffassung der Aufsichtsbehörde nicht datenschutzkonform möglich ist. Die grundsätzliche Verantwortung dafür sieht man in erster Linie beim Kultusministerium, das die Lizenzen bereitstellt. So könne eine Überforderung der einzelnen Schulen vermieden werden.

Internationale Nachrichten

• Frankreich: Die französische Datenschutzaufsicht CNIL hat einen Aktionsplan für den datenschutzkonformen Einsatz von KI-Systemen veröffentlicht. Neben der französischen Fassung ist auch eine englische Version abrufbar.
• Europa: Das EDPB hat seine Leitlinien 05/2022 zum Einsatz von Gesichtserkennung im Bereich der Strafverfolgung verabschiedet.
• Frankreich: Die französische Datenschutzaufsicht CNIL hat gegen einen Medienanbieter im Gesundheitssektor wegen Verstößen gegen die DSGVO ein Bußgeld in Höhe von 280.000 Euro sowie wegen Verstößen beim Einsatz von Cookies ein weiteres Bußgeld in Höhe von 100.000 Euro verhängt.
• USA: Bereits am 3. Mai hat die Federal Trade Commission (FTC) eine neue Regelung vorgeschlagen, die Facebook an der Monetarisierung der Daten von Kindern und Jugendlichen hindern soll.
• Europa: Das EDPB hat eine Übersicht zu One-Stop-Shop-Fällen, die das Recht auf Widerspruch und das Recht auf Löschung betreffen, veröffentlicht.
• Kroatien: Wegen Verstößen gegen das Recht auf Information in über 130.000 Fällen sowie die Vorgaben zur Sicherheit der Verarbeitung (Art. 32 DSGVO) und die Verpflichtung zum Abschluss eines Auftragsverarbeitungsvertrags hat die kroatische Datenschutzaufsichtsbehörde gegen ein Inkassounternehmen ein Bußgeld in Höhe von etwa 2,2 Millionen verhängt.

Aktuelle Gerichtsentscheidungen

• ArbG Ludwigshafen, Urteil vom 08.10.2021, Az. 3 Ca 480/21 (BeckRS 2021, 61738): Eine Auskunft nach Art. 15 DSGVO dient nicht dazu, rechtliches Gehör oder „Waffengleichheit“ in einem gerichtlichen Verfahren zu gewährleisten.
• FG Nürnberg, Urteil vom 23.11.2022, Az. 5 K 246/21 (BeckRS 2022, 46457): Kein Anspruch auf umfassende Akteneinsicht (bzw. Übersendung von Kopien) gegenüber dem Finanzamt aus Art. 15 DSGVO. Revision beim BFH anhängig unter dem Az. IX R 2/23.
• OLG Dresden, Urteil vom 14.03.2023, Az. 3 U 1798/22 (BeckRS 2023, 10108): Versicherte haben regelmäßig keinen Anspruch gegen ihre private Krankenversicherung auf Auskunft über den für eine Beitragsanpassung auslösenden Faktor.
• ArbG Duisburg, Urteil vom 23.03.2023, Az. 3 Ca 44/23 (Volltext): Eine verspätete Auskunft rechtfertigt ein Schmerzensgeld in Höhe von 10.000 Euro.
• OLG Dresden, Urteil vom 04.04.2023, Az. 4 U 1486/22 (GRUR-RS 2023, 6459): Zum Personenbezug eines Linolschnitts bzw. der dazugehörigen Bilddaten sowie zur Identifizierung der Klägerin im datenschutzrechtlichen Kontext.
• OLG Dresden, Urteil vom 05.04.2023, Az. 1 U 1645/22 (BeckRS 2023, 10103): Auslösende Faktoren für eine Beitragserhöhung bei einer privaten Krankenkasse sind nicht vom Recht auf Auskunft erfasst.
• LG Dresden, Urteil vom 26.04.2023, Az. 8 O 570/22 (juris): Wird eine Auskunft nach Art. 15 DSGVO nicht geltend gemacht, um die Rechtmäßigkeit der Verarbeitung, sondern um zivilrechtliche Ansprüche zu prüfen, kann die Auskunft als rechtsmissbräuchlich zurückgewiesen werden.
• OLG Köln, Urteil vom 28.04.2023, Az. 20 U 261/22 (BeckRS 2023, 10482): Die auslösenden Faktoren von Beitragsanpassungen einer Krankenkasse sind keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO. Es besteht daher kein Anspruch auf Auskunft.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Sachsen: „Tätigkeitsbericht für das Jahr 2022“ – zugehörige Pressemitteilung vom 16.05.2023
• Datenschutzaufsicht Niedersachsen: „Licht und (digitaler) Schatten“ – Pressemitteilung vom 17.05.2023 zu einem Bericht zur Prüfung des Datenschutzniveaus an 50 niedersächsischen Schulen
• Datenschutzaufsicht Berlin: „Tätigkeitsbericht für das Jahr 2022“ – zugehörige Pressemitteilung vom 22.05.2023